AWS 擴展驗證服務支援範圍　新增 Passkeys 支援功能

亞馬遜網路服務（AWS）近日更新其驗證服務，讓軟體開發團隊更容易實現「無密碼」登入體驗。

除了原本就支援透過電子郵件與簡訊傳送一次性密碼（OTP）之外，Amazon Cognito 現在也新增對基於公開金鑰加密與生物辨識的 Passkey 驗證支援。這項更新讓使用者能透過儲存在裝置上的加密金鑰來進行登入，有助於實踐零信任（Zero Trust）的資安原則。

此外，AWS 也重新設計了 Amazon Cognito 的管理主控台，讓更多開發團隊可以輕鬆使用此服務。AWS 還新增了「託管式登入」功能，讓開發團隊可以依照品牌需求，自訂登入流程的介面與行為。

AWS 同時推出三種不同層級的 Cognito 服務：Lite、Essentials 和 Plus，讓企業可根據實際需求選擇相對應的價格與功能組合。預設方案將會是 Essentials 層級，開發者仍可使用免費方案來初步熟悉服務內容。

AWS 身分驗證產品管理總監 Karen Haberkorn 表示，Amazon Cognito 提供了一種不需自行建置完整驗證系統的替代方案，可節省開發團隊在非核心功能上的時間與資源投入。她指出，幾乎每個應用程式開發團隊都需要管理像是憑證這類的機密資訊，但這些對最終使用者來說並沒有明顯價值。

與此同時，Cognito 提供的圖形化介面讓開發團隊可以更一致且合規地管理身分驗證。Cognito 支援如 OpenID Connect（OIDC）與 OAuth 等開源驗證標準，並已經每月處理數千億次的驗證請求。

Amazon Cognito 也整合了 Amazon Verified Permissions，讓開發人員能透過 AWS 開源的政策語言 Cedar 實作細緻化的權限控管。這樣的設計將存取控制與應用邏輯解耦，避免開發團隊不小心將憑證暴露在應用程式中，降低遭駭風險。

每個軟體開發團隊都需自行決定要在多大程度上自行管理驗證程序，或是改採雲端服務的方式來處理。但在現今駭客頻繁竊取登入憑證以入侵應用程式的情況下，交由 AWS 這類服務代管驗證流程，可讓團隊更輕鬆實踐業界最佳資安實務。

根據 Techstrong 的一份調查，目前只有不到一半的組織落實最佳的 DevSecOps 實務。不論採用哪種方法，若想避免未來與資安團隊之間的尷尬對話，開發團隊應在每個應用中一開始就妥善嵌入驗證功能。畢竟，最好的資安策略，就是從一開始就防止身分認證漏洞的發生。